linkedin
להרשמה לניוזלטר
30.07.2023 עדכון לקוחות
עיבוד נתוני מיקום על עובדים באמצעות אפליקציות ומערכות איכון ברכב
אודות תחומי פעילות

הרשות להגנת הפרטיות פרסמה בשבוע שעבר גילוי דעת בנושא איסוף נתוני מיקום של עובדים באמצעות אפליקציות ומערכות איכון ברכב.

גילוי הדעת הדעת חוזר על המלצות רבות שהעלינו בוובינר שערכנו בנושא לפני מספר חודשים, כמו למשל הצורך לנהוג במידתיות ביחס לעיבוד מידע מיקום (באמצעות פעולות כמו איסוף מיקום ביחס לעובדים שעבודתם מאופיינת בניידות או הפעלת המערכת לאיסוף המיקום רק במהלך שעות העבודה), בשקיפות כלפי העובדים, להשתמש במידע בהתאם למטרה לשמה נאסף, ולהחיל לגביו אמצעי אבטחת מידע.

בקשר למידתיות, המסמך מחייב בדיקה מקדמית לבחינת קיומה של חלופה סבירה פוגענית פחות, כמו למשל דיווח העובד על הגעה למקום מסויים חלף איסוף רציף של מיקומו. הרשות סבורה כי "יהיה קשה להצביע על אינטרס של המעסיק שבכוחו להצדיק איסוף רציף של נתוני מיקום, ככל שמדובר בעובד שעיקר עבודתו בפעילות משרדית רגילה".

המסמך לא מחריג נתוני מיקום שנאספים לצורכי אבטחת מידע (למשל, כדי לזהות התחברות ממיקום חריג), וזאת בניגוד למסמך שפרסמה בתחילת השנה בעניין ניטור עבודה מרחוק, בו החריגה הרשות "שימוש סביר ומידתי בכלי סריקה ופיקוח לצרכי אבטחת מידע והגנת סייבר בארגון". בעידן בו עובדים משרדיים רבים ניגשים למערכות הארגון גם כשאינם במשרד, טוב היה לו הרשות הייתה מבהירה עניין זה גם במסמך הנוכחי.

לגבי שקיפות, הרשות מרחיבה מאוד את גבולות סעיף היידוע הקבוע בחוק הגנת הפרטיות (סעיף 11 לחוק) ומציינת כי נדרש על בסיסו גם יידוע של העובד על היקף השימוש במידע מיקום, טווח השעות שבו יופעל הניטור ובעלי התפקידים שיהיו מורשי גישה למידע – נושאים שלא נכללים בלשון סעיף 11.

הרחבה נוספת בעניין הגישה למידע מצויה באמירה של הרשות לפיה יש לבחון התראה לעובד טרם העיון של המעסיק בפועל בנתוני המיקום שנאספו אודותיו, והרשות חוזרת על כך שלעובד יש זכות עיון גם במידע מיקום.

עוד מציינת הרשות כי לעמדתה נדרשת "הסכמה ספציפית" לאיסוף נתוני מיקום – מונח שאיננו ברור, שמבטא שוב את הבעייתיות בהסתמכות על הסכמה כבסיס עיבוד כמעט בלעדי בדיני הפרטיות בישראל.

הרשות מציינת כי מיקום הוא מידע "רגיש ביותר" וכתוצאה מכך יש לבחון למשל אפשרות לעיצוב המערכת באופן שהמידע בה ישמר מוצפן.

בנוסף, המסמך מתייחס לGDPR (ולEDPB– גוף המאגד את רשויות הפרטיות של האיחוד) ביחס לרגישות מידע מיקום, ומשתמש גם במונח "ציפייה סבירה" לפרטיות, המוכר מהדין האמריקאי. באופן ספציפי, הרשות מציינת כי לדעתה לעובד בעבודה משרדית יש צפייה סבירה שהמעסיק לא ישתמש במערכת שאוספת לגביו מיקום, אמירה שלאור השימוש הנפוץ במיקום לצורכי אבטחת מידע נראית לנו לא מדויקת.

מהפרסומים האחרונים של הרשות ניכר כי סוגיית הפרטיות של עובדים במקום העבודה נמצאת בתשומת לבה. לכן, אנחנו ממליצים ללקוחותינו לבדוק את האופנים שבהם הארגון מעבד מידע על עובדיו ולרענן התנהלות ומסמכים במידת הצורך.

 

אנו עומדים לרשותכם בכל שאלה,

אייל שגיאשיר שושני כץ וצוות מחלקת משפט וטכנולוגיה

מובהר כי אין באמור בכדי להוות התייחסות לנסיבות ועובדות ספציפיות ואין לראות בכך משום חוות דעת ו/או ייעוץ משפטי לעניין קונקרטי.